金融危機CIO增加預算力求IT安全

金融危機和經濟低迷使得CIO不得不勒緊褲腰帶，公司因此削減成本將成為非常現實的措施。許多CIO透露其公司近期也正考慮調整一些IT專案，將有限的預算資金重新調配。

但是一項調查顯示，大多數公司CIO還是希望在IT安全上的投入能夠有所增長或者至少在IT安全投入上能夠保持不變。該調查還發現，IT安全問題越來越受企業重視，與IT安全相關的決策都會往上呈報給更高主管，說明對多數企業而言，IT安全已不只是IT部門的事情。

一.經濟低迷，CIO面臨削減IT預算壓力

目前，世界經濟體都在經歷經濟滑坡，企業正在尋求削減開支、改善收支狀況的良方。因此在經濟低迷的時候，一個大的挑戰就是要用更少的成本做更多的事情，力求用好每一分錢的預算。雖然IT安全預算在企業的總成本基數中所佔的比例通常較小，但企業高管們仍不可避免地會將他們的注意力轉向IT安全預算，要求CIO對其進行大幅削減。

企業IT安全風險產生的成本可分成兩種：一是“硬錢成本”(Hard-dollar costs)，主要衡量實際現金損失以及IT人員投入修復的時間與資源;二是“軟錢成本”(Soft-dollar cost)，包括開會、生產效率、溝通關係以及商機消失等間接損害。對企業來說，IT安全問題不只是不被黑客入侵，還包括對重要資料的妥善保管。在一般情況下，IT安全投資通常是保障企業的正常運營的工具，其效益可遠遠超過按慣例削減IT成本所能節省的資金。

簡單的說，IT安全說穿了就是消弭公司的風險。因此在最糟糕的經濟環境下希望削減IT安全預算時，應該要問這樣的一個問題：在經濟低迷時公司的IT安全風險會降低嗎?實際上，當經濟低迷的時候，企業的資訊保安的狀況也不太好，而且更不幸的是IT安全問題反而劇增。

此次由CIO參與的名為“IT安全：如何在經濟低迷時保護生產力”的調查顯示，隨著經濟下滑規模不斷擴大，企業受到的IT安全威脅也越來越嚴重，而且造成的損害後果也越來越大，資訊保安的緊迫性日益凸現。所以，在經濟下滑時停止IT安全投資可能效果適得其反。因此，經濟低迷時IT安全管理，不能只是簡單削減成本，IT安全問題已經成為制約企業渡過經濟危機的關鍵問題之一。

二.為什麼IT安全風險隨經濟下滑反向劇增?

(1)IT安全風險如影隨形

統計資料表明，IT安全風險隨經濟下滑反向劇增，涉及IT資訊的違法犯罪活動會不斷攀升，黑客的攻擊手法更是花樣翻新。IT系統由多種裝置、設施構成，因此其面臨的威脅是多方面的。總體而言，這些威脅可以歸結為三大類：一是對IT裝置的威脅;二是對業務處理過程的威脅;三是對資料的威脅。要加強IT系統的安全防範，就要研究上述威脅，查清影響IT安全的因素。

這些因素有哪些呢?①是IT系統軟硬體的內在缺陷。這些缺陷不僅直接造成系統故障，還會為一些人為的惡意攻擊提供機會。最典型的如微軟的作業系統設計缺陷，一些病毒、木馬盯住其破綻興風作浪。②是惡意攻擊。攻擊的種類有多種，有的是對硬體設施的干擾或破壞，有的是對資料的攻擊，有的是對應用的攻擊。嚴重時可導致硬體永久性故障或損壞;對資料的攻擊也可破壞資料的有效性和完整性，或可能導致敏感資料的洩漏、濫用;對應用的攻擊則會導致系統執行異常甚至中斷。③是使用不當，如誤操作。這類使用不當會導致系統安全效能下降甚至系統異常也經常發生。

(2)經濟低迷時，高價值資料外洩危機更是頻繁

在2008年《IT 風險管理研究報告》中一項調查結果引人注意，那就是58%的受訪者表示在近期發生過一次重大IT安全資料外洩事件。之所以形成這樣的趨勢，很重要的一個原因就是經濟犯罪色彩越來越濃。現在以盈利為目的的IT安全攻擊目標已不再是基礎架構(如軟/硬體和網路裝置)，而是以運營在基礎架構上的資料資訊為目標，它造成的現實損失是一些關鍵資訊被破壞或者是被洩露出去，這種損失對大多數企業來說更難以承受，。

(3)垃圾郵件造成經濟損失成IT安全最大威脅

據不完全統計，黑客轉讓此類垃圾郵件的使用者資訊每年就能進賬數百萬甚至上千萬元人民幣，而這種病毒和垃圾郵件形成的連鎖垃圾郵件經濟也成了近年垃圾郵件屢禁不止的主要原因之一。垃圾郵件、病毒這兩個“網路騷擾者”隨便遇上哪一個，都足以讓CIO頭疼不已，而且這類事件還有隨著經濟下滑有進一步加劇的趨勢。

(4)內部裁員情緒的成最大IT安全隱患

面臨經濟不景時，公司在需要裁員時在IT安全方面的最大挑戰是什麼?根據調查報告顯示，最大的威脅和隱患是使用者情緒不穩定和受到裁員威脅。在公司可能裁員的敏感時期， IT安全的風險也受這個因素的影響而大大增加，這種過渡時期導致的不僅是安全洩露，更嚴重的是可能使到IT系統崩潰。

從目前的情況看，國內自主研發的可信計算技術已經相對比較成熟，早在2006年由國家密碼管理局專門協調聯想、兆日、瑞達、中興積體電路、衛士通、江南所、吉大正元、同方、中科院軟體所、方正集團、長城電腦、國防科技大學、同方微電子等17家國內民族IT企業和重要科研院所成立了可信計算密碼應用技術體系研究專項工作組。

如今，在政府相關部門的有力支撐和指導下，中國自主研發的可信計算技術從晶片廠商、到應用廠商、再到產品生產及終端使用者銷售市場，早已形成了完整的產業鏈條。歷經多年的技術研發積澱，可信計算專項組成員的多家IT廠商已將TCM可信計算根運用到了自己的產品當中，並且開發出眾多適合個人操作或行業安全提升的功能及解決方案。

但是，就國內軟體行業的整體執行情況來看，相關部門還沒有建立起一套完備的基礎軟體版本的管理機制，所以像此次的微軟黑屏事件，能夠在國內使用者中造成極大的反響也就不足為奇了。如此看來，由國家制定基礎軟體版本的管理機制已經是迫在眉睫的事情，而無論是可信技術還是管理機制，它們的確立與執行都將是國內軟體行業順利發展的強有力保證。

常言道：堡壘總是最易從內部攻破，公司越來越重視IT安全建設，但是都主要在對付外來的攻擊上，而忽略了來自內部的隱患和攻擊。在這個過渡時期，不可避免的是來自以破壞資訊完整性或者竊取資訊機密為目標的惡意攻擊呈飛速增長之勢。無論員工是因為不滿，還是隻是感覺沒有人看到，我們經常看到當企業可能裁員的情況下，代表巨大公司價值的IT資訊資產可能首先被錯放或者被竊取，而且很難判定這些資訊是否用用於欺騙或者其他的非授權的目的。

另外，卡耐基梅隆大學研究表明，那些由內部人員發起的攻擊中，86%的犯罪者都是技術人員。在這些人中55%的人是在離職後進行攻擊的。在前段時間媒體上廣為報導的一個例子是，某公司用了20名員工花了280小時才修復那些被一個對公司不滿的內部人員刪除的資料。進行攻擊的時候，犯罪者曾經是該公司IT部門的一名職員，他能夠遠端訪問關鍵系統。從報導中我們可以看出，IT內部人員通常擁有對關鍵系統的訪問權，即使在離職之後，他們也可以是用特別的帳戶和密碼訪問這些系統。

因此，IT部門和人力資源部必須瞭解可能導致IT安全失誤的事件，離職員工和公司管理人員必須明確瞭解哪些資訊離職人員可以帶走，哪些必須交接和保密。公司必須慎重管理、防禦資訊洩露和安全問題。其實，不單單隻有裁員的公司面臨這種困境，許多公司的在正常的內部管理也面臨同樣的難題。CIO要明白到當今IT安全最大的威脅其實是源自很小的事情，但這些事情往往被忽視了。

三.經濟低迷時，CIO如何應對IT安全風險?

IT安全威脅的種類包括網路攻擊、入侵、惡意程式碼，CIO必須一馬當先，帶領部下建立堅固的IT安全環境，以減少IT犯罪分子攻擊得手的可能性，降低損失程度。一提起企業IT安全，我們最先想到的是防火牆、防病毒、入侵檢測、資料加密等獨立的安全產品。但是IT安全不止這些，授權、認證與管理比單個安全軟體產品更重要，IT安全應該有完整的策略。

因此，CIO應該把IT安全看作是一種公司運營層面而不是技術層面上的挑戰。它類似於傳統的質量保證專案，主要是防患於未然而不是等待問題出現之後再去解決，並且要求所有員工的親身參與而不僅僅侷限於IT人員。最終的目標也不是讓IT系統變得無懈可擊，因為這根本不可能做到，而是把由此帶來的商業風險降低到可以接受的程度。

(1)IT安全策略

企業IT安全問題自始至終都是一個比較棘手的事情，它既有硬體的問題，也有軟體的問題，但最終還是人的問題。在對企業IT安全策略的規劃、設計、實施與維護過程中，必須對保護資料資訊所需的安全級別有一個較透徹的理解。

策略要能對某個安全主題進行描繪，探討其必要性和重要性，解釋清楚什麼該做什麼不該做。安全策略應該簡明，在生產效率和安全之間有一個好的平衡點，易於實現、易於理解。安全策略必須遵循三個基本概念：確定性、完整性和有效性。另外，安全策略不能忽略小的方面而影響整體的安全。這包括對裝置、資料、e-mail、Internet等的可接受的使用策略。

(2)進行安全分析

這是一個經常被忽略的工作步驟，同時也是IT安全策略制訂工作中的一個重要步驟。這個步驟的主要目標是確定需要進行保護的資訊資產及其對公司的絕對和相對價值，在決定保護措施的時候要參照這一步驟所獲得的資訊。考慮的關鍵問題包括需要保護什麼，需要防範哪些威脅，受到攻擊的可能性，在攻擊發生時可能造成的損失，能夠採取什麼防範措施，防範措施的成本和效果評估等等。

公司的安全分析檢查重點應是看入侵是否容易、哪些系統或程式易受攻擊，通過制訂完善的操作計劃，令黑客悻然離去。例如，堅持使用安全的軟體，公司如果是使用外部供應商的軟體，應當時時跟蹤軟體的版本與修訂情況，及時更新補丁;如果是自行開發軟體，則必須確保開發人員遵守安全的編碼與測試規則，減少軟體漏洞不讓黑客有機可乘。

(3)監控高風險使用者和角色

有時公司需要積極地監視某些角色，特別是這些角色對企業會造成極高的風險，企業要監視以便發現其潛在的“不可接受”的行為。例如一位採購經理為謀求一個職位可能會將自己能夠訪問的敏感資料帶到另外一家競爭公司那裡去。這種情況下，其訪問是被授權的，不過卻應該監視其是否存在著濫用的情況。崗位、職責的輪換以及設定任命時間也是對付高風險的一個重要方案。另外，注意的是IT安全專家通常也屬於高風險角色的範圍。

(4)加強使用者教育

對使用者而言，像網頁釣魚和捕鯨(把公司高官選作下手目標的電子郵件欺騙手法)這些有針對性的攻擊讓人擔心，因為這些攻擊會利用使用者沒有及時接受公司教育方面的漏洞。網路訪問控制和安全資訊管理等技術有助於保護IT安全，但幫助非常有限。隨著攻擊變得更加狡猾，使用者教育成了惟一選擇。

人們普遍認為，IT安全是IT部門的事情，其實這並不符合實際情況。使用者才是IT安全的最大威脅，因為大多數使用者對其行為的危險性不以為然。因為無論對使用者進行多少次的安全知識培訓，使用者總是禁不住各種病毒附件的“誘惑”，或為了獲取瀏覽速度，不惜關閉防火牆。IT安全問題人人有責、責無旁貸。讓人遺憾的是許多情況是當出現IT安全問題後，IT主管總是被動應付，只能採取補救措施。實際上，IT安全責任存在於公司的各部門，應該要做到防微杜漸，以小見大。

(5)災難恢復

墨菲定理說，會出錯的事總會出錯，如果你擔心某種情況發生,那麼它就更有可能發生。這個定理用到IT安全上，就是“再穩健的IT安全也會出問題。”這時候，我們老祖宗的那句話就派上了用場：凡事予則立，不予則廢。CIO應趁著系統還在執行的時候，制定一個災難恢復計劃，將災難帶來的損失降低到最小，這也許是IT安全保障的最後一個策略。

(6)IT安全演習

最後一點，當安全系統被攻破，危急時刻要迅速抉擇難免有誤。因此，平時建立應急預案，演習危機處理流程非常有必要。